Seleccionar p谩gina

Vulnerabilidades WordPress publicadas en Mayo 2017

viernes, 30 junio 2017 | WordPress | 0 Comentarios

Lista de Vulnerabilidades WordPress Mayo 2017 detectadas y reportadas en diferentes fuentes o boletines p煤blicos.

Cabe destacar que Mayo ha experimentado, por primera vez en mucho tiempo, un descenso global de los ataques de fuerza bruta, que tambi茅n asedian habitualmente a WordPress, contra wp-admin y wp-login.php ..esperemos que esta tendencia a la baja contin煤e.

Este mes se han detectado y publicado 33 vulnerabilidades que afectan a plugins, manteni茅ndose como la vulnerabilidad m谩s recurrente el cross-site scripting (XSS), y el n煤cleo tambi茅n se ha visto afectado por 7 vulnerabilidades, 6 de las cuales han sido parcheadas.

 

Plugins WordPress vulnerables Mayo 2017:

  • Vulnerabilidad de Almacenamiento no Autenticado CSRF/XSS en Newsletter by Supsystic
  • Vulnerabilidad de Almacenamiento no Autenticado CSRF/XSS y de Inyecci贸n SQL en LayerSlider <= 6.2.0
  • Vulnerabilidad de Almacenamiento Autenticado XSS en WP Booking System <= 1.3.3
  • Vulnerabilidad de Almacenamiento Autenticado XSS en WordPress Button Plugin MaxButtons <= 6.18
  • Vulnerabilidad de Almacenamiento Autenticado XSS e Inyecci贸n SQL en LayerSlider <= 6.2.0
  • Vulnerabilidad de Almacenamiento Autenticado XSS, Falsificaci贸n de petici贸n en sitios cruzados (CSRF) y Ejecuci贸n Arbitraria de C贸digo (RCE) en Ultimate Addons for Visual Composer <= 3.16.11
  • Vulnerabilidad de Almacenamiento Autenticado XSS, Falsificaci贸n de petici贸n en sitios cruzados (CSRF) y Ataque de Denegaci贸n de Servicio (DoS) en Tracking Code Manager
  • Vulnerabilidad XSS (Reflejada) en User Access Manager <= 2.0.8
  • Vulnerabilidad XSS no Autenticado y Falsificaci贸n de petici贸n en sitios cruzados (CSRF) en MSMC 鈥 Redirect After Comment
  • Vulnerabilidad de Cambio de Redireccionamiento de URL (CSRF) en Clean Login <= 1.7.12
  • Vulnerabilidad de Descarga no Autenticada de Registros en Download Monitor <= 1.9.6
  • Vulnerabilidad de Almacenamiento Autenticado XSS en AffiliateWP <= 2.0.9
  • Vulnerabilidad de Inyecci贸n de Objeto PHP no Autenticada en Gravitate QA Tracker <= 1.2.1
  • Vulnerabilidad de Inyecci贸n SQL Autenticada en Surveys 1.01.8
  • Vulnerabilidad de Inyecci贸n de Objeto PHP no Autenticada en SiteBuilder Dynamic Components <= 1.0
  • Vulnerabilidad de Inyecci贸n de Objeto PHP no Autenticada en Row Seats Core <= 2.66
  • Vulnerabilidad de Inyecci贸n de Objeto PHP no Autenticada en Referrer Detector <= 4.2.1.0
  • Vulnerabilidad XSS (Reflejada) en Raygun4WP <= 1.8.0
  • Vulnerabilidad de Inyecci贸n de Objeto PHP no Autenticada en NextGEN Gallery GEO <= 1.0
  • Vulnerabilidad de Inyecci贸n de Objeto PHP no Autenticada en My Geo Posts Free <= 1.2
  • Vulnerabilidad de Subida de Archivos en Flickr-picture-backup <= 0.7
  • Vulnerabilidad XSS (Reflejada) en RSS Post Importer
  • Vulnerabilidad XSS Persistente en Form Maker
  • Vulnerabilidad de Inyecci贸n SQL ciega autenticada en Eventr v1.02.2
  • Vulnerabilidad de Inyecci贸n SQL ciega autenticada en Easy Team Manager v1.3.2
  • Vulnerabilidad de Inyecci贸n de Objeto PHP no Autenticada en AJAX Random Posts <= 0.3.3
  • Vulnerabilidad XSS Autenticada en All In One Schema.org Rich Snippets <= 1.4.4
  • Vulnerabilidad de Inyecci贸n SQL autenticada en WordPress Facebook <= 1.0.13
  • Vulnerabilidad de Inyecci贸n SQL autenticada en Photo Gallery by WD <= 1.3.35
  • Vulnerabilidad de Inyecci贸n SQL Autenticada en Calendar by WD <= 1.5.51
  • Vulnerabilidad de almacenamiento autenticado XSS en Answer My Question 1.3
  • Vulnerabilidad XSS Indirecta (Reflejada) en SlideDeck 2
  • Vulnerabilidad XSS Persistente en Gift Certificate Creator

 

Temas WordPress vulnerables Mayo 2017

  • Vulnerabilidad de secuencias de comandos de sitios cruzados (XSS) y Falsificaci贸n de petici贸n en sitios cruzados (CSRF) en el tema Avada <= 5.1.4

 

Vulnerabilidades del n煤cleo de WordPress Mayo 2017

  • Este mes se detectaron varias vulnerabilidades importantes en el n煤cleo de WordPress que dieron lugar a la liberaci贸n el 17 de mayo de la versi贸n 4.7.5.

    • Validaci贸n de redirecci贸n insuficiente en la clase HTTP – WordPress 2.7.0-4.7.4
    • Manejo inadecuado de los valores post-meta-datos en la API XML-RPC – WordPress 2.5.0-4.7.4
    • Falta de capacidad de comprobaci贸n de post-metadatos en la API XML-RPC – WordPress 3.4.0-4.7.4
    • Se detect贸 una vulnerabilidad de Cross FSF (Cross Site Request Forgery) en el di谩logo de credenciales del sistema de archivos – WordPress 2.5.0-4.7.4
    • Se descubri贸 una vulnerabilidad de XSS (cross-site scripting) al intentar cargar archivos muy grandes – WordPress 3.3-4.7.4
    • Se descubri贸 una vulnerabilidad de XSS (cross-site scripting) relacionada con el Personalizador (Customizer) – WordPress 3.4.0-4.7.4
    • Inyecci贸n de encabezado de host en restablecimiento de contrase帽a – WordPress 2.3-4.7.5 (se considera que a煤n no est谩 corregida).

     

    Resumen:

    • Plugins vulnerables: 33
    • Temas vulnerables: 1
    • Vulnerabilidades del n煤cleo: 7

     

    WordPress 4.8 est谩 a la vuelta de la esquina, a fecha de este reporte de Mayo, y es importante tomar medidas, librarse de plugins innecesarios y mantener el resto bien actualizados para una futura correcta actualizaci贸n 芦mayor禄.

     
     
     

0 comentarios

Deja un comentario

Entradas relacionadas

驴Qu茅 es WordPress?

驴Qu茅 es WordPress?

WordPress es el sistema ideal para los principiantes, para usuarios avanzados o para los que no tienen demasiados conocimientos t茅cnicos.

A %d blogueros les gusta esto: